Zynco.io Header

Declaración HIPAA

Pagovision ha contratado a un auditor externo independiente que cumple con las normas y regulaciones de HIPAA. Para más detalles, comuníquese a: privacy@pagovision.com.

Acuerdo de Asociado Comercial para Clientes “Entidad Cubierta” de Pagovision

Estos Términos y Condiciones Estándar del Acuerdo HIPAA de Asociado Comercial (“HIPAA Addendum”) se incorporan al Contrato Marco de Servicios aplicable a los Clientes que son Entidades Cubiertas (según se define más adelante) y que proporcionan Información de Salud Protegida (“PHI”, por sus siglas en inglés, según se define más adelante) a Pagovision en relación con los servicios de Pagovision for Local Business y Enterprise que hayan adquirido. Estos términos complementan el acuerdo de compra entre Pagovision y los Clientes (“Acuerdo Subyacente”) con el fin de cumplir con los Estándares federales HIPAA relativos a Información de Salud de Identidad Individual, ubicados en 45 C.F.R. Parte 160 y Parte 164, Subpartes A a E (“Regla HIPAA”) y la Ley de Tecnología de la Información de Salud para la Salud Económica y Clínica (HITECH Act), Ley Pública 111-005 (“HITECH Act”).

* Este HIPAA Addendum se aplica al cumplimiento y prestación de servicios dentro de los Estados Unidos de América.

1. DEFINICIONES GENERALES (“CATCH-ALL DEFINITIONS”)

Los siguientes términos utilizados en este Acuerdo tendrán el mismo significado que dichos términos en las Reglas HIPAA: Breach, Data Aggregation, Designated Record Set, Disclosure, Health Care Operations, Individual, Minimum Necessary, Notice of Privacy Practices, Protected Health Information, Required By Law, Secretary, Security Incident, Subcontractor, Unsecured Protected Health Information y Use.

2. DEFINICIONES ESPECÍFICAS

Los términos utilizados pero no definidos de otro modo en este HIPAA Addendum tendrán el mismo significado que dichos términos en la Regla de Privacidad (“Privacy Rule”) o en la HITECH Act:

A. “Breach” (Incumplimiento) tendrá el mismo significado que se le otorga a dicho término en 42 U.S.O § 17921.

B. “Business Associate” (Asociado Comercial) tendrá, en general, el mismo significado que el término “business associate” en 45 CFR 160.103 y, en referencia a la parte de este acuerdo, significará Pagovision.

C. “Covered Entity” (Entidad Cubierta) tendrá, en general, el mismo significado que el término “covered entity” en 45 CFR 160.103 y, en referencia a la parte de este acuerdo, significará [Insert Name of Covered Entity].

D. “HIPAA Rules” significará las Reglas de Privacidad, Seguridad, Notificación de Incumplimientos y Cumplimiento (Enforcement Rules) en 45 CFR Parte 160 y Parte 164.

E. “Individual” (Individuo) tendrá el mismo significado que el término “individual” en 45 C.F.R. §160.103 e incluirá a una persona que califique como representante personal de conformidad con 45 C.F.R. § 164.502(g).

F. “Protected Health Information” o “PHI” (Información de Salud Protegida) tendrá el mismo significado que el término “protected health information” en 45 C.F.R. § 160.103, limitada a la información creada o recibida por el Business Associate de parte de, o en nombre de, la Covered Entity.

G. “Required by Law” (Exigido por Ley) tendrá el mismo significado que el término “required by law” en 45 C.F.R. § 160.103.

H. “Unsecured PHI” (PHI No Asegurada) tendrá el mismo significado otorgado a dicho término en la HITECH Act y en cualquier guía emitida en virtud de dicha ley.

3. OBLIGACIONES Y ACTIVIDADES DEL BUSINESS ASSOCIATE

Pagovision se compromete a:

1- Uso y divulgación de PHI: Pagovision no utilizará ni divulgará PHI excepto según lo permita o exija este HIPAA Addendum o según lo Exigido por Ley. Pagovision no utilizará ni divulgará PHI para fines de recaudación de fondos o marketing. Pagovision no recibirá directa o indirectamente remuneración a cambio de PHI, salvo que cuente con el consentimiento previo por escrito de la Covered Entity y ello esté permitido por la HITECH Act.

2- Salvaguardas: Pagovision utilizará salvaguardas apropiadas y cumplirá con la Subparte C de 45 CFR Parte 164 con respecto a la PHI electrónica para prevenir cualquier uso o divulgación no autorizados.

3- Mitigación: Pagovision mitigará, en la medida de lo posible, cualquier efecto perjudicial conocido por Pagovision que resulte de un uso o divulgación de PHI en violación de este Addendum.

4- Notificación: Pagovision notificará a la Covered Entity cualquier uso o divulgación no prevista, incluidos los incumplimientos de PHI no asegurada y cualquier incidente de seguridad.

Marque lo que corresponda:

  • El Business Associate notificará a la Covered Entity del incumplimiento dentro de treinta (30) días hábiles.

  • El Business Associate notificará el incumplimiento.

  • El Business Associate notificará a la Oficina de Derechos Civiles de HHS del incumplimiento.

5- Divulgación a agentes y subcontratistas: De conformidad con 45 CFR 164.502(e)(1)(ii) y 164.308(b)(2), según corresponda, Pagovision garantizará que cualquier subcontratista que cree, reciba, mantenga o transmita PHI en su nombre acepte las mismas restricciones, condiciones y requisitos que se aplican a Pagovision con respecto a dicha información.

6- Conjunto de registros designado: Pagovision proporcionará acceso, a solicitud de la Covered Entity, a la PHI contenida en un Conjunto de Registros Designado (Designated Record Set) para cumplir con los requisitos de 45 C.F.R. § 164.524. El Business Associate remitirá las solicitudes de acceso al conjunto de registros designado a la Covered Entity dentro de treinta (30) días (según aplique). Si el Business Associate no puede responder a la solicitud de acceso, éste notificará a la parte solicitante.

7- Prácticas internas, políticas y procedimientos: Pagovision pondrá a disposición sus prácticas internas, registros y documentos, incluyendo políticas, procedimientos y PHI, relacionadas con el uso y divulgación de PHI recibida de, o creada o recibida por Pagovision en nombre de, la Covered Entity, tanto a la Covered Entity como al Secretario de Salud y Servicios Humanos (“Secretary”) con el fin de permitir que el Secretary determine el cumplimiento de la Covered Entity con la Regla de Privacidad y la HITECH Act.

8- Registro de divulgaciones: Pagovision se compromete a mantener la información necesaria para proporcionar un registro (accounting) de las divulgaciones de PHI de conformidad con 45 C.F.R. § 164.528 y a poner esta información a disposición de la Covered Entity cuando ésta lo solicite, a fin de permitir que la Covered Entity responda a una solicitud de un individuo sobre el historial de divulgaciones.

9- Obligaciones de seguridad: Pagovision implementará salvaguardas apropiadas necesarias para prevenir el uso o divulgación de PHI distinto al permitido por el Acuerdo Subyacente o este HIPAA Addendum, incluyendo, entre otros, salvaguardas administrativas, físicas y técnicas que protejan razonable y adecuadamente la confidencialidad, integridad y disponibilidad de la PHI electrónica de la Covered Entity según se requiere en 45 C.F.R. Secciones 164.308, 164.310 y 164.312, según se enmienden oportunamente. Pagovision garantizará que cualquier agente, incluido un subcontratista, a quien proporcione dicha PHI electrónica, acepte implementar salvaguardas razonables y apropiadas para protegerla. Pagovision cumplirá con los requisitos de políticas, procedimientos y documentación de la Regla de Privacidad, incluyendo, entre otros, 45 C.F.R. Sección 164.316. Pagovision se compromete a informar de forma inmediata a la Covered Entity si se ha vulnerado la confidencialidad de la información.

10- Patrón o práctica de incumplimiento por parte de la Covered Entity: Si Pagovision tiene conocimiento de un patrón de actividad o práctica de la Covered Entity que constituya un incumplimiento material o violación de las obligaciones de la Covered Entity bajo este HIPAA Addendum, Pagovision deberá tomar las medidas razonables para subsanar el incumplimiento o poner fin a la violación. Si dichas medidas no tienen éxito, Pagovision notificará al Secretary.

4. USOS Y DIVULGACIONES PERMITIDOS POR PAGOVISION

1- Usos y divulgaciones permitidos: Salvo que se limite de otro modo en este HIPAA Addendum, Pagovision podrá usar o divulgar PHI para realizar funciones, actividades o servicios para o en nombre de la Covered Entity según lo especificado en el Acuerdo Subyacente, siempre que dicho uso o divulgación no infrinja la Regla de Privacidad, incluyendo, entre otros, cada requisito aplicable de 45 C.F.R. § 164.504(e) y la HITECH Act si fuera realizado por la Covered Entity.

2- Uso para gestión y administración: Salvo que se limite de otro modo en este HIPAA Addendum, Pagovision podrá usar PHI para la gestión y administración adecuadas de Pagovision o para cumplir con sus responsabilidades legales.

3- Divulgación para gestión y administración: Salvo que se limite de otro modo en este HIPAA Addendum, Pagovision podrá divulgar PHI para la correcta gestión y administración de Pagovision, siempre que dicha divulgación sea Exigida por Ley o que Pagovision obtenga garantías razonables de la persona a la que se divulga la información de que ésta permanecerá confidencial y será utilizada o divulgada posteriormente sólo según lo Exigido por Ley o para el propósito para el cual se reveló, y que dicha persona notifique a Pagovision de cualquier incumplimiento de la confidencialidad.

4- Mínimo necesario: Pagovision (y sus agentes o subcontratistas) solicitará, utilizará y divulgará únicamente la cantidad mínima de PHI necesaria para lograr el propósito del uso, divulgación o solicitud. La definición de “minimum necessary” está sujeta a cambios y Pagovision se mantendrá informada de la guía emitida por el Secretary respecto de lo que constituye dicho “minimum necessary”.

5- Agregación de datos: Salvo que se limite de otro modo en este HIPAA Addendum, Pagovision podrá usar PHI para proporcionar servicios de Agregación de Datos (Data Aggregation) relacionados con las operaciones de atención médica a la Covered Entity según se permite en 45 C.F.R. §164.504(e)(2)(i)(B).

6- Informe de violaciones de la ley: Pagovision podrá usar PHI para informar violaciones de la ley a las autoridades federales y estatales competentes, de conformidad con 45 C.F.R. §164.502(l).

5. DISPOSICIONES PARA QUE LA COVERED ENTITY INFORME AL BUSINESS ASSOCIATE SOBRE PRÁCTICAS DE PRIVACIDAD Y RESTRICCIONES

1- Aviso de prácticas de privacidad: La Covered Entity notificará a Pagovision cualquier limitación en el aviso de prácticas de privacidad de la Covered Entity bajo 45 C.F.R. § 164.520, en la medida en que tales limitaciones puedan afectar el uso o divulgación de PHI por parte de Pagovision.

2- Cambios en permisos: La Covered Entity notificará a Pagovision cualquier cambio o revocación del permiso de un individuo para usar o divulgar su PHI, en la medida en que dichos cambios puedan afectar el uso o divulgación de PHI por parte de Pagovision.

3- Notificación de restricciones: La Covered Entity notificará a Pagovision cualquier restricción al uso o divulgación de PHI que la Covered Entity haya aceptado o esté obligada a respetar bajo 45 C.F.R. § 164.522, en la medida en que dicha restricción pueda afectar el uso o divulgación de PHI por parte de Pagovision.

4- Solicitudes permitidas por la Covered Entity: La Covered Entity no solicitará a Pagovision que use o divulgue PHI de forma que no sería permisible según la Regla de Privacidad y la HITECH Act si fuera realizada por la propia Covered Entity, salvo en los casos en que se apliquen ciertas disposiciones, como agregación de datos, gestión y administración o responsabilidades legales de Pagovision (pueden aplicar una o más).

6. PLAZO Y TERMINACIÓN

1- Plazo: El plazo de este HIPAA Addendum será efectivo a partir del primer día en que la Covered Entity proporcione PHI a Pagovision y finalizará cuando toda la PHI proporcionada por la Covered Entity a Pagovision, o creada o recibida por Pagovision en nombre de la Covered Entity, sea destruida o devuelta a la Covered Entity, o, si no es factible devolver o destruir la PHI, se extiendan las protecciones a dicha información conforme a las disposiciones de terminación de esta Sección.

2- Terminación por causa: Pagovision autoriza la terminación de este Acuerdo por parte de la Covered Entity si ésta determina que Pagovision ha incumplido un término material del Acuerdo:

  • Proporcionar un aviso previo por escrito de 60 días que especifique la naturaleza del incumplimiento o violación a Pagovision. Pagovision dispondrá de 60 días desde la fecha del aviso para remediar el incumplimiento o violación. Si no se realiza dicha acción correctiva dentro del plazo especificado, este HIPAA Addendum y el Acuerdo Subyacente se darán por terminados al final del período de 60 días, sin necesidad de más avisos o requerimientos.

  • Terminar inmediatamente este HIPAA Addendum y el Acuerdo Subyacente si Pagovision ha incumplido un término material de este HIPAA Addendum y no es posible subsanar dicho incumplimiento.

  • Informar de la violación al Secretary si no es posible ni subsanar el incumplimiento ni terminar este HIPAA Addendum y el Acuerdo Subyacente.

3- Obligación de Pagovision tras la terminación:

Al finalizar este HIPAA Addendum o el Acuerdo Subyacente, por cualquier motivo, Pagovision devolverá o destruirá toda la PHI recibida de la Covered Entity, o creada, mantenida o recibida por Pagovision en nombre de la Covered Entity. Esta disposición se aplicará a la PHI en posesión de los subcontratistas o agentes de Pagovision. Pagovision no conservará copias de la PHI.

Tras la terminación de este Acuerdo, con respecto a la PHI recibida de la Covered Entity, o creada, mantenida o recibida por Pagovision en nombre de la Covered Entity, Pagovision:

  • Conservará únicamente la PHI que sea necesaria para que Pagovision continúe con su gestión y administración adecuadas o para cumplir con sus responsabilidades legales.

  • Devolverá a la Covered Entity o, si así lo acuerda la Covered Entity, destruirá el resto de la PHI que Pagovision mantenga en cualquier formato.

  • Continuará utilizando salvaguardas apropiadas y cumplirá con la Subparte C de 45 CFR Parte 164 con respecto a la PHI electrónica para prevenir su uso o divulgación, salvo según se disponga en esta Sección, mientras Pagovision conserve la PHI.

  • No utilizará ni divulgará la PHI conservada por Pagovision para otros fines distintos de aquellos para los cuales dicha PHI fue conservada y seguirá sujeta a las mismas condiciones aplicables antes de la terminación.

  • Devolverá a la Covered Entity (o, si así lo acuerda la Covered Entity, destruirá) la PHI conservada por Pagovision cuando ésta ya no sea necesaria para la gestión y administración adecuadas de Pagovision o para cumplir con sus responsabilidades legales.

En el caso de que Pagovision determine que no es factible devolver o destruir la PHI, Pagovision notificará por escrito a la Covered Entity las condiciones que hacen que la devolución o destrucción no sean factibles. Si la devolución o destrucción de la PHI no es factible, Pagovision extenderá las protecciones de este HIPAA Addendum a dicha PHI y limitará los usos y divulgaciones posteriores a aquellos fines que hacen que la devolución o destrucción resulten inviables, mientras Pagovision mantenga dicha PHI.

7. DISPOSICIONES VARIAS ADICIONALES A LOS TÉRMINOS Y CONDICIONES

1- Referencias normativas: Una referencia en este HIPAA Addendum a una sección de la Regla de Privacidad o de la HITECH Act se entenderá como referencia a dicha sección en su versión vigente o enmendada.

2- Sin terceros beneficiarios (1): Nada en este HIPAA Addendum se considerará o interpretará como la concesión de cualquier derecho o beneficio a una persona que no sea parte de este HIPAA Addendum, ni la imposición de obligación alguna de cualquiera de las Partes frente a personas que no sean parte del mismo.

3- Enmiendas: Pagovision se reserva el derecho de cambiar los términos y condiciones de este HIPAA Addendum en cualquier momento. Pagovision notificará a la Covered Entity de cualquier cambio material en este HIPAA Addendum enviando a la Covered Entity un correo electrónico a la última dirección de correo electrónico proporcionada a Pagovision o publicando de forma destacada un aviso de dichos cambios en el sitio web de Pagovision. Los cambios en este HIPAA Addendum serán efectivos a partir de la fecha más temprana entre: treinta (30) días naturales después del envío por Pagovision del correo electrónico de notificación a la Covered Entity o treinta (30) días naturales después de la publicación del aviso de cambios en el sitio web de Pagovision. Estos cambios serán efectivos inmediatamente para nuevos clientes de Pagovision. Tenga en cuenta que la Covered Entity es responsable en todo momento de proporcionar a Pagovision su dirección de correo electrónico más actualizada. En caso de que la Covered Entity no proporcione una dirección válida o no sea posible entregar el aviso descrito, el envío del correo electrónico por parte de Pagovision contendiendo dicho aviso constituirá, no obstante, notificación efectiva de los cambios a este HIPAA Addendum. La Covered Entity notificará oportunamente a Pagovision cuando desee cancelar su suscripción a los servicios de Pagovision correspondientes. El uso continuado de los servicios de Pagovision tras dicha notificación constituirá el reconocimiento por parte de la Covered Entity de dichos cambios y su aceptación de quedar vinculada por los mismos.

4- Interpretación: Las disposiciones de este HIPAA Addendum prevalecerán sobre las disposiciones de cualquier otro acuerdo existente entre las Partes que pueda entrar en conflicto o parecer inconsistente con cualquiera de las disposiciones de este HIPAA Addendum, la Regla de Privacidad o la HITECH Act.

5- Sin terceros beneficiarios (2): El Business Associate y la Covered Entity no tienen la intención, ni nada de lo expresado o implícito en este Acuerdo pretende conferir a persona alguna distinta del Business Associate y la Covered Entity, y sus respectivos sucesores o cesionarios, derecho, recurso, obligación o responsabilidad alguna.

6- Contratista independiente: El Business Associate presta servicios en virtud del Acuerdo y, para todos los efectos del mismo, su condición será la de contratista independiente.